Salut,

J'avais le même systeme avant. Je faisais ma backup en local (ntbackup) et après je lancer un transfert FTP sur une machine sauvegardée.

Slts Pas tous le temps la hélas.

Merci. Mais en faite je dois faire les backup avec simantec backupexec.

Le probleme est que je ne veut pas passer par le firewall. Je veux en aucun cas ouvrir des ports entre le lan et la DMZ.

Tu n'auras pas le choix hélas.

Si tu ne veux pas ouvrir de port en DMZ et LAN, tu seras obliger de faire tes backups en local.

N'installes surtout pas de 2eme carte car la tu ouvres un brèche !!

Mais je tiens à attirer ton attention sur un point :
Le fait d'ouvrir des ports sur ta DMZ ou sur ton LAN ça revient au même point de vue sécurité.
L'important c'est de bien rediriger tes ports vers les bonnes machines.

On fonctionnait comme ca avant et ca posait des problèmes justement pour les sauvegardes et autres antivirus.
Depuis, On a fait des réglages NAT et nous n'avons plus de DMZ visibles, juste des ouvertures de ports sur des ports WAN qui pointent grâce au NAT vers des machines du LAN.

Au niveau sécurité, ça revient au même. D'ailleurs, la plupart des firewall ne propose plus de ports DMZ en natif mais des ports de "Optionnel" qui permette l'utilisation en DMZ ou bien en WAN secondaire ou en LAN secondaire. Pas tous le temps la hélas.

Merci bien.

J'aimerais juste savoir exactement pourquoi le solution de la 2eme carte réseau avec un adressage IP privé et différent du lan n'est pas sécurisé ?? merci

Donc si j'ai bien compris, on ouvre des ports DMZ -> Wan et on fait du NAT Wan -> lan ??

Non en fait, tu utilises tes ports WAN en directs vers le LAN mais en n'ouvrant que les ports nécessaires.

La deuxième carte ne représente pas une brèche c'est une solution possible mais une peu galère quand même. Pas tous le temps la hélas.

Ok. Merci pour ton aide.

Je pense partir sur la solution de la 2eme carte réseau. Ces 3 serveurs ont une 2eme carte intégré. Je pensais simplement les relier avec un switch et appliquer un adressage privé différent du lan et de la dmz.

Je me pose juste un petite question. Si il y a intrusion dans la DMZ, le hacker pourra-t-il utilisé ce 2eme réseau privé pour atteindre le LAN ?

Et aurais-tu quelques liens ou autre d'une situation semblable (avec les 2 cartes réseau) ??

Si un hacker passe, il pourra s'introduire sur ton réseau LAN.

Après tu peux faire de la restriction sur le LAN que tu vas faire.

Tu as quoi comme firewall?
Pas tous le temps la hélas.

Firewall nokia.

Pour renforcer la sécurité, je pensai désactivé la carte réseau du backup server coté lan. Lorsque les backup doivent etre fait (dimanche soir), un script active la carte réseau. Comme cela, tout le reste du temps la porte vers le lan reste fermé.

Mais ces 3 serveurs seront relier par un switch et non un firewall.

Messieurs,

Je me permet de vous dire que je ne suis pas d'accord du tout sur ce que vous venez de dire.

Une DMZ n'est absoluement pas facultatif et il faut à tout pris éviter d'ouvrir des ports de votre firewall vers des machines positionnées sur votre LAN.

Si vous procédez comme ca, le petit malin qui prend la main sur la machine aura accès à l'ensemble du LAN (ci qui est à éviter).

En général :
WAN -> LAN (tout interdit)
WAN -> DMZ (ouverture partielle)
LAN -> DMZ (on peut tout ouvrir si on veut)
LAN -> WAN (on peut tout ouvrir si on veut)

Certaine entreprises vont même jusqu'a avoir plusieurs DMZ du type :
- 1 DMZ publique (pour des serveurs WEB par exemple : on ne sait pas qui se connecte : sécurité élevée)
- 1 DMZ privée (pour des applications spécifiques type extranet : on sait qui vien se connecter : sécurité moins élevée)

Pour ce qui est de la sauvegarde, il n'y aucun problème à sauvegarder une machine présente en DMZ même si la solution de sauvegarde est sur le LAN. Il faut juste que ce soit la machine présente sur le LAN qui initialise la connexion (LAN_> DMZ ouvert).

Pour ce qui est de ton firewall, n'aurais tu pas du Checkpoint qui tourne sur ton Nokia ?
Si oui, Checkpoint est une affaire de spécialiste. Même si ca parait simple ce ne l'est absolument pas et je ne saurai te conseiller de consulter la société qui t'as vendu le produit.

Merci lolo44.

Et que pense tu de la solution ajout d'une 2eme carte réseau avec réseau privé ? est-ce suffisamment sécurisé ?

Certainement pas :
=> Archi réseau pas top
=> Foireux à maintenir
=> Sécurité Nulle : Il suffit qu'un pettit malin prenne la main sur ta machine en DMZ afin d'accéder à tout ton lan en se servant de cette machine comme passerelle (cela revient à chinter ton firewall).

Si tu as du Nokia + checkpoint (cout de la solution non négligeable) c'est que tu as un réseau avec un nombre de postes relativement conséquent.

Valide si tu as bien du checkpoint sur ton Nokia. Si oui, le mieux est de contacter le commercial de checkpoint qui te mettra en relation avec un bon intégrateur sécurité. Si ce n'est pas du checkpoint, il faut voir.

Il m'est impossible de te donner une solution sans avoir un schéma réseau détaillé de ton architecture et c'est le genre de choses qui ne sont pas à mettre sur un forum.

J'avoue que c'est quand même plus sécurise avec une DMZ mais c'est tellement plus simple sans. Pas tous le temps la hélas.